PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Какой самый надежный способ аутентификации ?

Форумы портала PHP.SU » PHP » Программирование на PHP (Модераторы: valenok, OrmaJever, Саныч)

Страниц (3): [1] 2 3 »

Без описания

Поиск в теме | Версия для печати

armancho7777777	Отправлено: 17 Апреля, 2011 - 19:33:09
Активный участник Покинул форум Сообщений всего: 4526 Дата рег-ции: Февр. 2011 Откуда: Москва Помог: 221 раз(а)	Здравствуйте все! Вопрос к экспертом и магистрам) Подскажите пожалуйста, какой самый надёжный способ аутентификации ? Достаточто ли надёжна аутентификация с помощью сеансов? (Отредактировано автором: 17 Апреля, 2011 - 19:36:06)

EuGen	Отправлено: 17 Апреля, 2011 - 19:52:15
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	"Самый надежный" - понятие относительное. Если безопасность нужна из ряда вон, используйте стандартный механизм сессий с привязкой, скажем, по IP и с соединением по подтвержденному SSL-сертификату. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

armancho7777777	Отправлено: 17 Апреля, 2011 - 19:59:08
Активный участник Покинул форум Сообщений всего: 4526 Дата рег-ции: Февр. 2011 Откуда: Москва Помог: 221 раз(а)	А с привязкой по IP ? Он же должен быть статистичесий обязательно?

EuGen	Отправлено: 17 Апреля, 2011 - 20:01:48
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	При первом посещении привязку делайте к тому IP, с которого сделан запрос (то есть это усложнит всякие XSS и им подобные) И время жизни сессии задавайте. Скажем, 10 минут. И делайте logout, если пользователь ничего не делал в течении этого времени. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

armancho7777777	Отправлено: 17 Апреля, 2011 - 20:10:37
Активный участник Покинул форум Сообщений всего: 4526 Дата рег-ции: Февр. 2011 Откуда: Москва Помог: 221 раз(а)	Спасибо большое! И ещё очень важный вопрос для меня. На счёт SSL-сертификатов. Я хочу воспользоваться им, но вот не знаю как. Мне надо изучить хорошо эту технологию, или достаточно на хостинге заказать его, и они всё сделают?

EuGen	Отправлено: 17 Апреля, 2011 - 20:13:05
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Изучить я бы рекомендовал в любом случае. По поводу сертификатов - думаю, можете обратиться к хостеру, наверняка они предоставляют такую услугу, или же можете заказать его сами. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

armancho7777777	Отправлено: 17 Апреля, 2011 - 20:17:53
Активный участник Покинул форум Сообщений всего: 4526 Дата рег-ции: Февр. 2011 Откуда: Москва Помог: 221 раз(а)	Да, хостеры предоставляют эту услугу. А не посоветуете какое либо пособие, где это всё доходчиво разъясняется?

EuGen	Отправлено: 17 Апреля, 2011 - 20:21:47
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Брифинг http://ssl[dot]ru/ru/info/whats_the_ssl/ Статья http://ru[dot]wikipedia[dot]org/wiki/SSL ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

armancho7777777	Отправлено: 17 Апреля, 2011 - 20:23:02
Активный участник Покинул форум Сообщений всего: 4526 Дата рег-ции: Февр. 2011 Откуда: Москва Помог: 221 раз(а)	EuGen, спасибо Вам большое!)

armancho7777777	Отправлено: 17 Апреля, 2011 - 22:45:34
Активный участник Покинул форум Сообщений всего: 4526 Дата рег-ции: Февр. 2011 Откуда: Москва Помог: 221 раз(а)	EuGen EuGen, посмотрите пожалуйста этот код. Что скажете? PHP: скопировать код в буфер обмена <? if (isset($_POST['auth_name'])) { $name=mysql_real_escape_string($_POST['auth_name']); $pass=mysql_real_escape_string($_POST['auth_pass']); $query = "SELECT * FROM `admin_pass` WHERE `username`='".$name."' AND `password`='".$pass."'"; $res = mysql_query($query) or trigger_error(mysql_error().$query); if ($row = mysql_fetch_assoc($res)) { session_start(); $_SESSION['user_id'] = $row['id']; $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; } header("Location: http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']); exit; } if (isset($_GET['action']) AND $_GET['action']=="logout") { session_start(); session_destroy(); header("Location: http://".$_SERVER['HTTP_HOST']."/"); exit; } if (isset($_REQUEST[session_name()])) session_start(); if (isset($_SESSION['user_id']) AND $_SESSION['ip'] == $_SERVER['REMOTE_ADDR']) return; else { ?> <form method="POST"> <input type="text" name="auth_name"><br><br> <input type="password" name="auth_pass"><br><br> <input type="submit"><br> </form> <? } exit;

OrmaJever	Отправлено: 17 Апреля, 2011 - 23:51:36
Активный участник Покинул форум Сообщений всего: 7540 Дата рег-ции: Янв. 2010 Откуда: Чернигов Помог: 299 раз(а)	1) зачем начинать сесию 3 раза в одном файле? строки 10, 18 и 23 2) trigger_error(mysql_error().$query) Это чтобы пользователь знал имя таблицы и путь к файлам для будущего взлома? ----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

SAD	Отправлено: 17 Апреля, 2011 - 23:54:41
Постоянный участник Покинул форум Сообщений всего: 2508 Дата рег-ции: Май 2009 Откуда: Днепропетровск, Украина Помог: 75 раз(а)	OrmaJever пишет: Это чтобы пользователь знал имя таблицы и путь к файлам для будущего взлома? кросавчег)

armancho7777777	Отправлено: 17 Апреля, 2011 - 23:55:56
Активный участник Покинул форум Сообщений всего: 4526 Дата рег-ции: Февр. 2011 Откуда: Москва Помог: 221 раз(а)	SAD пишет: OrmaJever пишет: Это чтобы пользователь знал имя таблицы и путь к файлам для будущего взлома? кросавчег) Это сорказм, или он прав?

SAD	Отправлено: 17 Апреля, 2011 - 23:57:10
Постоянный участник Покинул форум Сообщений всего: 2508 Дата рег-ции: Май 2009 Откуда: Днепропетровск, Украина Помог: 75 раз(а)	прав

OrmaJever	Отправлено: 18 Апреля, 2011 - 00:01:09
Активный участник Покинул форум Сообщений всего: 7540 Дата рег-ции: Янв. 2010 Откуда: Чернигов Помог: 299 раз(а)	armancho7777777 пишет: Это сорказм, или он прав? Зделай синтаксическую ошибку в запросе и посмотри что выведет. (Добавление) А выведет примерно следуйщее CODE (htmlphp): скопировать код в буфер обмена Notice: Table 'site.admin_pass' doesn't existSELECT * FROM `admin_pass` WHERE `username`='' AND `password`='' in X:\www\test.php on line 275 Это джек пот для хакера (Отредактировано автором: 18 Апреля, 2011 - 00:04:29) ----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

Поиск в теме | Версия для печати

Страниц (3): [1] 2 3 »

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Программирование на PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.